Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
1
Penetration Testing IIBachelor in Computer Science (BCS)
5. Semester
Botnetze- Funktion, Erkennung und Entfernung
von
Daniel Baier
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
2Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Gliederung• Einführung
�Definition
�Übersicht von aktiven Botnetzen
�Verwendungszweck• Techniken
� Infektion & Scanning
�Kommunikation�Update
�Verteidigung
• Erkennen und Entfernen� Infektionen von Bots erkennen und entfernen
�Aufspüren von Botnetzen
• Ausblick
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
3
Einführung
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
4
Einführung: Definition
Bot nach Dunham und Melnick:
„Malicous code that acts like a remotely controlled „robot“ for an attacker, with both Trojan und worm capabilities. This term mayrefer to the code itself or to an infected computer, also known as a drone or zombie.“
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
5
Einführung: Definition
Zentralisierte Topologie (C&C)
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
6
Einführung: Definition
Dezentralisierte Topologie (P2P)
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
7
Einführung: Übersicht von aktiven Botnetzen
Ozdok< 100.000Mega-D*
Bobax80.000-120.000Kraken
Tedroo600.000-800.000Grum
?600.000-800.000Bagle
RKRustok, Costrat1.200.000-2.000.000Rustock
Pandex, Mutant1.000.000-1.500.000Cutwail
? 20.000-36.000Xarvester
? 100.000-200.000Festi
?200.000-300.000Maazben
DownUp, DownAndUp, DownAdUp, Kido
9.000.000Conficker
AliasesGeschätzte BotzahlName
* wurde 11.09 von FireEye übernommenPenetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
8
Einführung: Übersicht von aktiven Botnetzen
Bots die 2007 von
der ShadowserverFoundation
beobachtet wurden
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
9
Einführung: Übersicht von aktiven Botnetzen
Die Top 10 Länder mit
Conficker Infizierungen. Stand 29. Januar 2009.
Deutschland ist aufPlatz 190 mit 23881
Conficker infizierten Rechnern.
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
10
Einführung: Verwendungszweck
• Data Mining
• DDoS• Datendiebstahl
• Löschen von Hinweisen
• Proxy und Anoymisierer• Ransomeware
• Rekutrieren von Bots
• Reporting• Spamming & Phishing
• Verteilung von illegalen Inhalten
• …
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
11
Techniken
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
12
Techniken: Infektion & Scanning
2 Klassen von Infektionen:
� Infektion mittels Social Engineering: Interagieren mit dem Benutzer direkt
� Drive-by-download/Drive-by-infection
� Benutzer wird zum Ausführen verleitet (z.B. E-Mail Anhang)
� Automatisierte Infektion: Benötigt keine menschliche Interaktion
� Local Exploit� Remote Exploit
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
13
Techniken: Infektion & Scanning
Beispiel für Social Engineering (Drive-by-download)
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
14
Techniken: Infektion & Scanning
Beispiel für Remote Exploit (MPack)
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
15
Techniken: Infektion & Scanning
„Scanning-Engine“
� In jeden Bot implementiert
� Nur definierte Scannen
� Unterschiedliche Scanning-Strategien:� Hit-list Scanning
� Topological Scanning
� Flash Scanning� Permutation Scanning
� Passive Scanning
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
16
2 Klassen der Kommunikation:
� Verbindungsaufnahme (Nachhause-Telefonieren)
� Verbindungsmethoden eines Bots zum C&C
� Methoden des Bot-Herders um „Herde zu hüten“
� Kommunikationsprotokolle (Inter-Botnet Kommunikation)
� Bots untereinander � Bots mit C&C
Techniken: Kommunikation
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
17
Verbindungsaufnahme (Nachhause-Telefonieren)
� Hart kodierte IP Adresse
Bullet Proof Hosting � z.B. Russian Business Network
� DynDNS� P2P � abhängig von P2P Technologie
� Fast-Flux Netzwerke
Techniken: Kommunikation
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
18
• Fast-Flux Netzwerke
� Single Flux Netzwerke:� Nur Änderung des DNS A Resource Records!
� Steuerung durch TTL, z.B. alle 3 Min. neue IP
� Double Flux Netzwerke:� Änderung des A und NS Resource Records
• Bsp. Single Flux:
Techniken: Kommunikation
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
19
Techniken: Kommunikation
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
20
Kommunikationsprotokolle (Inter-Botnet Kommunikation)
2 Arten
� Push:
� Andauernde Verbindung zum C&C� C&C entscheidet Zeitpunkt neuer Kommandos
� Pull:
� Gelegentliche Verbindung zum C&C� Bot erfragt neue Kommandos
Techniken: Kommunikation
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
21
Techniken: Kommunikation
Eigenes oder ICMPXXAndere
theoretischXXVoIP
Overnet (Kademlia)XXP2P
UnrealIRCdXIRC
ICQ, JabberXIM
TwitterXHTTP
BeispielPull
PushProtokoll
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
22
� Patching (Bugfix) � beheben von Fehlern
� Ändern der Binärdatei� Folge: Signaturänderung
� Ziel: Entdeckung durch Antiviren Programmen (AV) vermeiden
� Feature Adding� Exploit Archiv aktualisieren/vergrößern
� Nachladen von neuen Mechanismen
� Ändern der Kommunikation z.B. von IRC � IM
Techniken: Update
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
23
Techniken: Verteidigung
• Beenden/Deaktivieren ungewollter Programme (z.B. AV)
• Verstecken (Rootkit Techniken)
• Angriffe auf Forscher (meist DDoS)
“When Researchers tried to understand the working of the
Storm botnet DDoS Attacks were made on the hosts whichthey worked on.” [Krogoth 2008]
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
24
Techniken: Verteidigung
Vereinfachtes Beispiel einer AV Detection anhand F-Secure‘s
BugBear.B Analyse
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
25
Erkennen und Entfernen
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
26
Erkennen und Entfernen: Infektionen von Bots erkenn en
2 Methoden:
� Lokale (local detection)
� Manuelle Erkennung
� AV� Host-Based Intrusion Detection System (HIDS)
� Netzwerk (network detection)� Klassische Netzwerk Analyse
� Kommunikationsanalyse
� Kommunikationssignatur Analyse
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
27
Kommunikationsanalyse am Beispiel von Wireshark
Erkennen und Entfernen: Infektionen von Bots erkenn en
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
28
Erkennen und Entfernen: Infektionen von Bots erkenn en
• Werkzeuge zum Entfernen von Bots:
� McAfee Stinger [Link]� Microsoft Windows Defender [Link]
� Spybot – Search & Destroy [Link]
� TrojanHunter [Link]� SwatIt [Link]
� Trojan Defence Suite [Link]
• Dennoch:
� Vertrauenswürdigkeit ?
� Neuinstallation!
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
29
Erkennen und Entfernen: Aufspüren von Botnetzen
• Einige Botnet-Detection Frameworks
� IRCd, öffentlich (z.B. DDD + GnuWorld)� IRCd, privat (z.B. Rishi an der RWTH Aachen)
� E-Mail (CipherTrust ZombieMeter; Spamhaus XBL; jeder Andere)
� Diverses (Darknet, Network Telescope o. Internet Motion Sensor)
� Honeypots (z.B. honeyd oder Glastopf)
� AV/Managed network sensing (Sophos)
• Problem: Teure Überwachung
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
30
Erkennen und Entfernen: Aufspüren von Botnetzen
IRC-Botnetz-Erkennung an der RWTH Aachen mit Rishi
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
31
Erkennen und Entfernen: Aufspüren von Botnetzen
Alternative: DynDNS-Based Detection nach Dagon
� 3LD. SLD. TLD
botnet.example.com
� Canonical DNS Request Rate:
� ≙ Aufsummierung der Kinder SLDi
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
32
Erkennen und Entfernen: Aufspüren von Botnetzen
Als DynDNS Kunden neigen Botnetze Subdomains zu nutzen
SLD/3LD-Kennzahlen zur Identifikation von Botnetz-Verkehr
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
33
Ausblick
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
34
Ausblick
Botnetzen nach wie vor ein aktuelles Thema:
� Malware as Service (Amazon EC2; Google App Engine)
� PC nicht mehr einzige betroffene
Architektur � 23.11.2009 erstes iPhone
Botnet (iKee.B)
� Errichtung eines „Callcenters zurBekämpfung von Botnetzen“ von
BSI und eco
iKee.AWurm:
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung
Hochschule Bonn-Rhein-Sieg FB Informatik, WS 2009/2010
35
Haben Sie noch Fragen?
Vielen Dank für Ihre Aufmerksamkeit!
Penetration Testing II : Botnetze – Funktion, Erkennung und Entfernung